区块链挖矿_区块链开发_比特币行情_快报网

网站地图资讯

区块链挖矿_区块链开发_比特币行情_快报网

当前位置: 快报网 > 分析 >

北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读

时间:2021-07-20 09:30人气:来源: www.vdu-skin.net

《规范》中也规定了“智能合约应经过有关专业技术职员的审计,并保留审计记录”。通常情况下,区块链上的所有用户都可以看到基于区块链的智能合约,这会致使包括安全漏洞在内的所有漏洞都可见,并且可能没办法飞速修复。

智能合约的运作机理如图1所示,智能合约经各方签署后,以程序代码的形式附着在区块链数据上,经点对点互联网传播和节点验证后记入区块链的特定区块中。智能合约封装了预概念的若干状况及转换规则、触发合约实行的情景、特定情景下的应付行动等。区块链可实时监控智能合约的状况,并通过核查外部数据源、确认满足特定触发条件后激活并实行合约。

在金融业务模式中,风险突出表现为三点:现有监管能力没办法实时有效获得职员、买卖、资金数据致使的数据不可控风险;买卖自己真实性不明和是不是有洗钱风险致使的场景不可知风险;不符合已有金融法规或处于模糊、灰色地带的规范不完备风险。

产业界有各种不一样的可信实行环境达成形态,有些是基于芯片的达成形态,有些是基于软件的达成形态,不管形式怎么样变化,大家看到:隔离机制、算力共享、业务开放都是其拥有的一同特征。不一样的TEE环境之间怎么样达成一致和协同,是后续要重点关注的问题。

所以,要在合约上线之前对安全性进行审计和剖析,将函数之间的依靠关系、调用关系抽取出来,提取各个数据流的前后流向关系等关联信息。综合这部分信息来探知函数内部是不是存在异常行为、内存结构是不是被破坏、控制流是不是进入非法边界,从而审计合约是不是存在安全威胁。

展 望

北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读 北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读 图1 智能合约运行原理相信在将来的数字经济中,几乎所有些契约型的约定都可以借助智能合约,将业务逻辑以代码的形式达成、编译并部署,完成既定规则的条件触发和自动实行,可以保障所有约定的靠谱实行,防止篡改、抵赖和违约。

从智能合约的定义提出,到目前开始进行规模化应用,大家可以看到智能合约的实行不能离开以基础软件和基础硬件为核心构建的可信实行环境。考虑到金融场景的高靠谱性需要,在《规范》中,明确需要了“智能合约宜在可信的软件/硬件支持的环境中实行”。

北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读 北大教授陈钟:关于央行《规范》中的智能合约及基础软硬件安全解读 图2 智能合约安全事件导致的经济损失(万USD)《规范》中对智能合约自己的安全性提出了一系列的需要,譬如:“智能合约的实行应有原子性,支持实行过程中发生错误时的回滚操作。一旦出现异常,所有些实行应被回撤,以防止中间态致使数据不同”。通过TEE保护的数据在一个智能合约的计算过程中不应被泄露,用户仅能在一个智能合约完成运行后才能获得计算结果。

大家看到,金融科技的高速进步减少了企业从事金融业务的门槛,但金融科技企业常见内控机制薄弱、消费者权益保护存在不足、信息不透明、监管困难程度大。同时,金融科技打破风险传导的时空限制,使得风险传播速度更快。金融商品交叉性和关联性不断增强,风险难以辨别,风险隐蔽性更大,传统监管手段非常难奏效。

伴随分布式账本技术在金融机构的规模化应用,大家将会看到:金融监管部门可以基于分布式账本对金融机构进行主动监管,推进监管模式由事后监管向事中监管转变,提升监管效率。金融机构可以通过以智能合约为核心的智能化方法增强合规能力,降低合规工作的资源付出。可以说,分布式账本技术客观上改变了监管部门与受监管对象的关系,降低监管摩擦并增进合规成效,进而可以对金融产业的进步形成良性的促进用途。

2.基于基础软硬件的可信实行环境。基础软硬件为上层提供物理资源和计算驱动,是分布式账本系统的基础支持。通过基础软硬件为智能合约提供可信实行环境并保留用记录。

1.概述。智能合约是以信息化方法传播、验证或实行合同的计算机协议。其在分布式账本上体现为可自动实行的计算机程序。

2020年2月5日,中国人民银行正式发布《金融分布式账本技术安全规范》金融行业准则。《规范》的发布,能有效引导金融科技范围的所有机构加大行业自律,落实安全责任,推进分布式账本科技的有序进步。本文重点对《规范》中的及基础软硬件安全进行解析。

智能合约

智能合约定义最早在1994年由学者Nick Szabo提出,刚开始被概念为一套以数字形式概念的承诺。区块链技术的出现重新概念了智能合约。智能合约是区块链的核心构成要点,是由事件驱动的、具备状况的、运行在可复制的共享区块链数据账本上的计算机程序,可以主动或被动地达成数据处置、同意、储存和发送等价值,与控制和管理各类链上智能资产等功能。可以说智能合约是分布式账本技术不同于传统信息化技术非常重要的标志之一。

3.智能合约安全。智能合约将来拥有极为广阔的应用场景,但它本质是一段程序,不可防止地存在漏洞,且其漏洞可以直接转化为经济利益。自2013年ETH诞生以来,智能合约的安全问题日渐得到看重。从The DAO安全事件到BEC的BatchOverFlow,因智能合约漏洞直接或间接致使了上亿USD的经济财产损失(如图2所示)。

为了防范金融革新引发的风险,监管部门坚持“但凡金融活动都应纳入监管”的原则,提出了更多合规需要,客观上也增加了金融机构合规本钱。

伴随《规范》的推出,在统一了安全需要的状况下,分布式账本技术势必在金融范围得到迅速应用,基于分布式账本技术的监管科技也将会是金融科技进步的势必产物,通过分布式账本的用将可以大幅减少监管与合规的本钱,缘由如下:一是分布式账本可以变成监管者与受监管对象之间的共享数据记录库,打破了组织间的壁垒;二是分布式账本可以轻松达成买卖数据的子集以实时的方法与监管者推荐;三是分布式账本可以达成“包含监管的”业务模式,在其中监管者借助智能合约实时验证买卖,规则合约化。

分布式账本技术与金融的融合进步目前仍处于相对初步的阶段,在技术成熟度、自主革新度、场景契合度与规范规则完备程度等方面还面临一些实质挑战,本《规范》是为了落实《中国金融业信息技术“十三五”进步规划》140号文印发)和《金融科技)》209号文印发)的需要,规范分布式账本技术在金融范围的应用,提高分布式账本技术的信息安全保障能力而编制,可以说恰逢其时。

在金融场景中,存在着很多的既有信息管理软件和数据库,仅计算链上数据的智能合约不可以完全满足需要,在很多业务场景下,智能合约不能不与链下数据或信息管理软件进行交互。但智能合约与链下的数据交换会破坏智能合约计算的原子性,因此可能导致区块链上受保护数据的隐私泄露。在需要与链下交互的智能合约中,除不安全区间外,其他区间在各自区间内的计算都应保证其原子性。

《规范》也提到了“系统宜有针对不同操作系统的软件版本,宜支持三种及以上的操作系统或系统版本”,“应保证不同节点用的硬件设施拥有肯定的异构性”,这部分需要都对分布式账本的大规模应用提出了新的挑战。

标签:


热门标签